Antworten
Highlighted
Retired_Member
Nicht anwendbar

GS716Tv3 - VLAN-Routing nur in eine Richtung

Hallo,

 

wir haben eine SRX5308 und einen GS716T. In der Firewall sind zwei VLANs eingerichtet

VLAN1: 192.168.1.0/24 (Port 1)

VLAN10: 192.168.10.0/24 (Port 2)

und das Inter-VLAN-Routing aktiviert.

 

Im Switch gibt es diese VLANs ebenfalls. Welche ACL müssen definiert werden, damit der Zugriff von Geräten in VLAN1 auf Geräte in VLAN10 möglich ist, umgekehrt aber nicht?

Sind außer den ACL eventuell noch weitere Einstellungen nötig?

 

Besten Dank im Voraus

 

 

Nachricht 1 von 6

Akzeptierte Lösungen
Highlighted
Retired_Member
Nicht anwendbar

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.

 

Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 5 von 6

Alle Antworten
Highlighted
NETGEAR Employee Retired

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung


Hallo @Retired_Member,

 

und willkommen in der NETGEAR Community.

 

Du kannst die Kommunikation zwischen VLANs mit IP ACL blockieren. Dafür kannst Du entweder die Permit ACL erstellen, um nur die gewünschte IP Adressen zu erlauben, oder eine Deny Regel, um zum Beispiel das ganze Subnetz zu sperren.

 

- Erstelle eine IP ACL ID (Securtity - ACL - IP ACL)

- Konfiguriere und füge die Regeln für die ACL hinzu (Security - ACL - IP ACL - IP Extended Rules)
- Binde die "Inbound ACL" an die passenden Ports (Security - ACL - IP ACL - IP Binding Configuration)

 

Ich würde Dir folgende Anleitung vorschlagen. 

 

Beachte bitte, dass Wildcard Netzwerkmasken müssen für die IP ACL verwendet werden.

Der Switch setzt automatisch eine Standard Deny Regel als die letzte Regel einer beliebigen ACL.

 

Hier findest Du weitere IP ACL Beispiele.

 

 

Grüße
Slas
NETGEAR Community Team


____
Klicke auf KUDOS, wenn du diesen Beitrag hilfreich findest, und markiere ihn ggf. als AKZEPTIERTE LÖSUNG.

Nachricht 2 von 6
Highlighted
Retired_Member
Nicht anwendbar

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Hallo Slas,

 

vielen Dank für die Antwort.

Vielleicht habe ich mich nicht klar genug ausgedrückt. Wir möchten einen "one-way access" zwischen zwei VLAN einrichten, wie z.B. in diesem Beispiel beschrieben: How do I use the web interface on my managed switch to configure one-way access using a TCP flag in ...

Beim GS716T gibt es aber anscheinend keine Möglichkeit, die entsprechenden TCP Flags in der ACL zu setzen. Lässt sich das mit diesem Switch trotzdem irgendwie realisieren?

Nachricht 3 von 6
Highlighted
NETGEAR Employee Retired

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Hallo @Retired_Member,

 

Du kannst die IP ACL auf dem aktuellen Switch realisieren, auch wenn  TCP Flag Option nicht vorhanden ist.

Ich schicke Dir gleich eine PN.

 

Grüße
Slas
NETGEAR Community Team


____
Klicke auf KUDOS, wenn du diesen Beitrag hilfreich findest, und markiere ihn ggf. als AKZEPTIERTE LÖSUNG.

Nachricht 4 von 6
Highlighted
Retired_Member
Nicht anwendbar

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Anwendungsfall: beliebige Verbindungen auf beliebigen Ports von VLAN A nach VLAN B sollen möglich sein, umgekehrt jedoch nicht.

 

Lösung: funktioniert nicht mit einem GS716T, sondern nur mit einem L2+ oder L3 Switch (z.B. M4100) bei denen die TCP-Flags für SYN und ACK entsprechend gesetzt werden können.

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 5 von 6
Highlighted
NETGEAR Employee Retired

Re: GS716Tv3 - VLAN-Routing nur in eine Richtung

Hallo @Retired_Member,

 

vielen Dank für Deine Rückmeldung.

 

Nach ein paar Testversuchen mit @gier mussten wir feststellen, das der aktuelle GS716T für die gewünschte ACL Konfiguration leider nicht ausreichend ist.

 

Grüße
Slas
NETGEAR Community Team


____
Klicke auf KUDOS, wenn du diesen Beitrag hilfreich findest, und markiere ihn ggf. als AKZEPTIERTE LÖSUNG.

Nachricht 6 von 6
Diskussionsstatistiken
  • 5 Antworten
  • 4554 Aufrufe
  • 0 Kudos
  • 2 in Unterhaltung